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ROBERT BOSCH GMBH, 704 42 STUTTGART 
BE SCH RE I BUNG 

Vorrichtung fur sicherheitskritische Anwendungen und sichere 
Elektronik-Architektur 

STAND DER TECHNIK 

Die vorliegende Erfindung betrifft eine sichere Elektronik- 
Architektur , und betrifft insbesondere eine Rechnervorrichtung 
fur sicherheitskritische Anwendungen, bei der eine Spei- 
^chereinheit und mindestens eine Prozessoreinheit chipflachen- 
effizient und kostenef f i zient zusammenwir ken . 

Verteilte, sicherheitsrelevante Systeme werden beispielsweise 
in dem Fahr zeugbereich bzw. in der Fahr zeugtechni k als X-by- 
wire-Systeme eingesetzt, wobei die funktionale Sicherheit der- 
artiger Systeme zu gewahrleisten ist. Ein bekanntes Steuerge- 
rat zur Steuerung sicherheitskrit ischer Anwendungen ist in der 
DE 199 02 031 Al beschrieben. Bekannt sind bei Einrechner- 
Steuergeraten Verfahren mit Selbsttest, Plausibilitat suberwa- 
chung und sogenanntem Watch-dog. 

In der DE 199 02 031 Al ist offenbart, dass eine Oberwachungs- 
"einheit erste Mittel zur Messung des Ruhestroms des Mikrocom- 
puters aufweist und dass weiterhin zweite Mittel vorgesehen 
sind, urn den Mi krocomputer mit einem Testdatensignal zu beauf- 
schlagen, urn das Testdatensignal zu verarbeiten und ein Test- 
datenausgangssignal des Mikrocomputers mit einem entsprechen- 
den Testdatenausgangssignal der Uberwachungseinheit zu ver- 
gleichen . 

Ein weiteres bekanntes Mi kroprozessorsystem fur sicherheits- 
kritische Regelungen ist in der DE 195 29 434 Al beschrieben, 
wobei zugefuhrte Daten redundant verarbeitet werden, indem 
Zentraleinheiten bzw. CPUs uber separate Bussysteme an die 
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Festwert- und an die Schreib-Lese-Speicher sowie an Eingabe- 
und Ausgabeeinheiten angeschlossen sind und die Bussysteme 
untereinander durch Treiberstuf en verbunden sind. 

Vollstandige Rechnervorrichtungen umfassen ublicherweise Spei- 
chereinheiten zur Speicherung von Prozessdaten, Prozessorein- 
heiten zur Verarbeitung von Prozessdaten und eine Specherver- 
waltungseinheit zur Steuerung von Speicher zugr i f f en . Weiterhin 
werden Fehlererf assungseinheiten eingesetzt, urn Fehler in 
Speichereinheiten zu erfassen und urn diese dann gegebenenf alls 
unter Zuhilf enahme von Fehler korrektureinheiten zu kcrrigie- 
ren. Im Allgemeinen ist jeder Speichereinhe-it eine Fehlerer- 
ifassungseinheit bzw. eine Fehlerkorrektureinhei t zugeordnet. 
Fur . die Uberprufung von Prozessoreinheiten , welche mit den 
Speichereinheiten wechselwirken, ist im Allgemeinen eine 
Selbsttesteinheit vorgesehen, welche einer entsprechenden Pro- 
zessoreinheit zugeordnet ist. Her kommlicherweise ist die Spei- 
chereinheit zusammen mit einer zugeordneten Prozessoreinheit 
auf einer Chipflache bzw. einem Chip angeordnet . Hierbei weist 
die Speichereinheit einen wesentlich hoheren Flachenbedarf als 
die Prozessoreinheit auf, d.h. der groftte Teil der Chipflache, 
auf welcher eine Speichereinheit und eine Prozessoreinheit 
angeordnet sind, wird von der Speichereinheit eingenommen . 
Beispielsweise betragt das Flachenverhaltnis der Flache der 
Speichereinheit zu der Flache der Prozessoreinheit 30:1. 



Weiterhin ist die Wahrscheinlichkeit eines Auftretens von Feh- 
lern auf dem Chip proportional zur Flache des Chips, was be- 
deutet, dass die Fehlerwahrscheinlichkeit bezuglich der Spei- 
chereinheit wesentlich grofier als die Fehlerwahrscheinlichkeit 
bezuglich des Prozessors ist. 

Ein Rechnersystem, das einen Dualkern einsetzt, ist in der DE 
195 29 434 Al beschrieben. Dieses System weist ein sogenanntes 
"fail-silent "-Verhalten auf, d.h. das System weist ein defi- 
niertes Verhalten auf, welches fur die Funktionsf ahigkeit der 
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ubrigen Schaltungskomponenten unschadlich ist, wenn ein Fehler 
erkannt wird. 

Ein Nachteil des Dualkernkonzepts besteht darin, dass dieser 
empfindlich gegen Common-mode-Fehler ist, d.h. eine Storung 
durch kurzzeitige Spitzen auf der Versorgungsspannung oder 
eine elekt romagnet ische Storung beeinflusst beide (Rechner-) 
Kerne in gleicher Weise, so dass Fehler, welche einer Ver- 
gleichseinheit zugefuhrt werden, nicht erkannt werden konnen. 

Damit kann ein nicht erkannter Fehler eine nicht zu erkennende 
Auswirkung in der Anwendung hervorrufen. Auch bei einer Ver- 
|wendung des sogenannten "Lockstep-Konzepts" sind Common-mode- 
Fehler moglich, wenn eine Storung langer andauert als eine 
Dauer einer Ver zogerungs zeit zwischen den beiden Kernen. Die 
Dauer der Verzogerungszeit ist hingegen auf die Zeit einer 
Bef ehlsausf uhrung begrenzt, da bei einer langeren Dauer die 
beiden Kerne unwiederbringlich ihre Synchronitat verlieren 
konnen. Beispielsweise konnte fur die Dauer einer Befehlsaus- 
fuhrung ein externes Interrupt-Signal bereitgestellt werden, 
das den nicht-ver zogerten Kern zur Ausfuhrung eines Interrupt- 
Programms veranlasst, wohingegen der verzogert arbeitende Kern 
sein normales Programm abarbeitet, weil kein Interrupt-Signal 
mehr anliegt. 

Lin weiterer Nachteil des Dualkernkonzepts besteht darin, dass 
Fehler erst dann erfasst werden, wenn die ent sprechenden Res- 
sourcen benotigt werden, z.B. wenn ein bestimmter Abschnitt 
des Programms durchlaufen wird oder wenn ein Teil des Kerns 
benotigt wird, bei dem dann aktuell ein Unterschied zwischen 
den Ergebnissen der beiden Kerne auftritt. 

Die Aufgabe der vorliegenden Erfindung besteht darin, eine 
Rechnervorrichtung zu schaffen, bei der die Chipflachen bezug- 
lich der bei den auf diesen Chips angeordneten Speicher- und 
Prozessoreinheiten auftretenden Fehlern besser genutzt werden 
und bei der eine Speicher-Prozessor-Anordnung optimiert ist. 
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Diese Aufgabe wird durch eine Rechnervorr ichtung mit den Merk- 
malen des Anspruchs 1 gelost. 

5 Weiterhin wird die Aufgabe er f indungsgemaft durch ein im Pa- 
tentanspruch 8 angegebenes Verfahren gelost. 

Weitere Ausgestaltungen der Erfindung ergeben sich aus den 
Unteranspriichen . 

10 

Ein wesentlicher Gedanke der Erfindung besteht darin, Spei- 
^ chereinheiten zusammen mit Fehlererf assungseinheiten und/oder 
J^Fehlerkorrektureinheiten und gleichzeitig Prozessoreinheiten 
zusammen mit zugeordneten Selbsttesteinhei ten auf einem ge- 
15 meinsamen Chip anzuordnen, wobei einer Kombination aus Spei- 
chereinheit und Fehlererf assungseinheit bzw. Fehlerkorrektur- 
einheit mehr als eine Kombination aus einer Prozessoreinheit - 
auch als Prozessorsystem bezeichnet - und einer zugeordneten 
Selbsttesteinheit zugeordnet ist. 

20 

Die erf indungsgemaBe Rechnervorr ichtung weist dann den wesent- 
lichen Vorteil auf, dass eine Kombination von einem sich 
selbst iiberwachenden (Selbsttest) -Rechnerkern (core mit BIST 
(built in self test) -Konzept) und einer f ehlersicheren Spei- 

25 ^hereinheit bereitgestellt wird. In vorteilhaf ter Weise ver- 
^ ifteidet das Einzelkern-BIST-Konzept die Nachteile eines Dual- 
kern-Konzepts, da durch eine Kombination einer Speicherein- 
heit, welche eine zugeordnete Fehlererf assungseinheit und/oder 
eine zugeordnete Fehlerkorrektureinheit aufweist, mit einer 

30 Prozessoreinheit, welche eine Selbsttesteinheit zugeordnet 

aufweist, Fehlertoleranzlevel erzielt werden, welche fur den 
Kern "fail-silent", fur die Speichereinheit mit zugeordneter 
Fehlererf assungseinheit "f ail-silent " und fur die Speicherein- 
heit mit zugeordneter Fehlerkorrektureinheit "fail- 

35 operational" bezuglich des Erstfehlers und „f ail-silent " be- 
zuglich des Zweitfehlers sind. Dies bedeutet, dass der Kern 
einen Fehler entdecken kann und sich dann passiv auf ein defi- 
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niertes, fur die ubrigen Schaltungseinheiten unschadliches 
Verhalten schaltet. Der Speicher mit Fehlerer f assungseinheit 
weist das gleiche Verhalten auf, wohingegen der Speicher mit 
Fehlerkorrektureinheit fur den ersten auftretenden Fehler oh 
Einschrankungen wei terarbeitet und fur den zweiten auftreten 
den Fehler ein definiertes, unschadliches Verhalten aufweist 

Die erf indungsgemafie Rechnervorrichtung fur sicherheit s kriti- 
sche Anwendungen weist im Wesentlichen auf: 

a) mindestens eine Prozessoreinheit ; 

Pb) eine Speichereinheit zur Speicherung von Prozessdaten; 

c) eine Speicherverwaltungseinheit zur Steuerung von Speicher 
zugriffen in der Rechnervorrichtung; 

d) eine Fehlererf assungseinheit zur Erfassung von Fehlern in 
der Speichereinheit; und 

e) mindestens eine der Prozessoreinheit zugeordneten Selbst- 
testeinheit , 

wobei die Rechnervorrichtung weiter Verbindungsmittel zur Ver 
jjpindung der Prozessoreinheiten untereinander und mit der Spei 
cherverwaltungseinheit umfasst, wobei die Prozessoreinheiten 
zusammen mit der Speichereinheit auf einer gemeinsamen Chip- 
flache angeordnet sind. 

In den Unteranspruchen finden sich vorteilhafte Weiterbildun- 
gen und Verbesserungen des jeweiligen Gegenstandes der Erfin- 
dung. 

Gemafr einer bevorzugten Weiterbildung der vorliegenden Erfin- 
dung ist die Fehlererf assungseinheit als eine Fehlerkorrektur- 
einheit ausgebildet, so dass in vorteilhaf ter Weise eine Kor- 
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rektur von Fehlern in der Speichereinhei t bereitgestellt wer- 
den kann. 

Gemafl einer weiteren bevorzugten Weiterbildung der vorliegen- 
5 den Erfindung ist jeder Prozessoreinheit jeweils eine Selbst- 
testeinheit zur Durchfuhrung eines Selbsttests zugeordnet. 

Gemafl einer weiteren bevorzugten Weiterbildung der vorliegen- 
den Erfindung weist die Rechnervorr ichtung zwei durch Verbin- 
0 dungsmittel gekoppelte Prozessoreinhei ten auf, welchen jeweils 
eine Selbsttesteinheit zugeordnet ist. 

^i|&Gemafl noch einer weiteren bevorzugten Weiterbildung der vor- 
liegenden Erfindung ist eine Kombinat ion von Rechnervorr ich- 

5 tungen, die eine gleiche oder unterschiedliche Anzahl von Pro- 
zessoreinheiten aufweisen, mittels mindestens einer Verbin- 
dungseinheit bereitgestellt. Hierbei sind die Verbindungsmit- 
tel zweckmafligerweise derart gestaltet, dass eine entsprechen- 
de Bitanzahl auf den Verbindungsmitteln ubertragen werden 

0 kann. 

Gemafl noch einer weiteren bevorzugten Weiterbildung der vor- 
liegenden Erfindung ist der Rechnervorrichtung jeder Spei- 
chereinheit jeweils eine Fehlerkorrektureinheit zugeordnet. 

5 4- 

' Gemafl noch einer weiteren bevorzugten Weiterbildung der vor- 
liegenden Erfindung sind die Speicherverwaltungseinheit zur 
Steuerung von Speicher zugr if f en in der Rechnervorrichtung und 
die mindestens eine Prozessoreinheit als eine einzige Einheit 
0 integral ausgebildet. 

Weiterhin weist das erf indungsgemafle Verfahren zur Prozessda- 
tenverarbeitung in einer Rechnervorrichtung fur sicherheits- 
kritische Anwendungen im Wesentlichen die folgenden Schritte 
5 auf : 
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a) Verarbeiten von Prozessdaten in mindestens einer Prozessor- 
einheit, wobei 

al) die mindestens eine Prozessoreinheit mittels mindestens 
einer der Prozessoreinheit zugeordneten Selbs ttesteinheit ge- 
testet wird; und 

a2) in der Rechnervorrichtung die Prozessoreinhei ten unterein- 
ander und mit der Speicherverwaltungseinheit mittels Verbin- 
dungsmitteln verbunden sind, wobei die Prozessoreinheiten zu- 
sammen mit der Speichereinheit auf einer gemeinsamen Chipfla- 
che angeordnet sind; 

b) Steuern von Speicherzugrif f en in der Rechnervorrichtung 
mittels einer Speicherverwaltungseinheit; 



c) Speichern von Prozessdaten in einer Speichereinheit; 



und 



d) Erfassen von Fehlern in der Speichereinheit (102) mittels 
einer Fehlererf assungseinheit . 

Gemaft noch einer weiteren bevorzugten Weiterbildung der vor- 
liegenden Erfindung werden mittels einer Fehlerkorrekturein- 
heit Fehler in der Speichereinheit korrigiert. 

ftemaB noch einer weiteren bevorzugten Weiterbildung der vor- 
liegenden Erfindung werden in der Rechnervorrichtung zwei 
durch Verbindungsmittel gekoppelte Prozessoreinheiten jeweils 
durch zugeordnete Selbsttesteinheiten getestet. 

Gemafi noch einer weiteren bevorzugten weiterbildung der vor- 
liegenden Erfindung werden Rechnervorrichtungen, die eine 
gleiche oder unterschiedliche Anzahl von Prozessoreinheiten 
aufweisen, mittels mindestens einer Verbindungseinheit kombi- 
niert . 
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Gemali noch einer weiteren bevorzugten Wei terbildung der vor- 
liegenden Erfindung wird die Speichereinheit in der Rechner- 
vorrichtung jeweils mittels einer zugeordneten Fehler korrek- 
tureinheit auf Fehler uberpruft und korrigiert. 

Gemali noch einer weiteren bevorzugten Wei terbildung der vor- 
liegenden Erfindung wird die mindestens eine Prozessoreinheit 
mittels einer zugeordneten Selbs ttesteinheit getestet. 

Gemali noch einer weiteren bevorzugten Wei terbildung der vor- 
liegenden Erfindung gibt die Selbsttes teinheit eine Fehlermel- 
dung uber Selbsttesteinheit-Ausgabemittel zu einer externen 
|Anzeigeeinheit und/oder einer Fehlerverarbeitungseinheit aus, 
wenn eine Prozessoreinheit durch die zugeordnete Selbsttest- 
einheit als fehlerhaft erkannt wird. 

Gemali noch einer weiteren bevorzugten Weiterbildung der vor- 
liegenden Erfindung tauschen die Prozessoreinheiten Anfangs- 
werte, Zwischenergebnisse bzw. Zwischenwerte und Endergebnisse 
uber die Verbindungsmittel zwischen den Prozessoreinheiten aus 
und uberprufen dieselben auf Gleichheit. 

Gemali noch einer weiteren bevorzugten Weiterbildung der vor- 
liegenden Erfindung gibt die Prozessoreinheit eine. Fehlermel- 
dung uber Prozessoreinheit-Ausgabemittel zu einer externen 
Anzeigeeinheit und/oder einer Fehlerverarbeitungseinheit aus,. 
wenn die Prozessoreinheit eine Abweichung zwischen den Zwi- 
schenergebnissen bzw. Zwischenwert en und/oder Endergebnissen 
f eststellt . 

Gemali noch einer weiteren bevorzugten Weiterbildung der vor- 
liegenden Erfindung wird bei einem Auftreten von Fehlern in 
der Speichereinheit eine Fehlermeldung uber Fehlererf assungs- 
einheit-Ausgabemittel zu einer externen Anzeigeeinheit 
und/oder einer Fehlerverarbeitungseinheit ausgegeben. 
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Gemaft noch einer weiteren bevorzugten Weiterbildung der vor- 
liegenden Erfindung wird bei einem Auftreten von Fehlern in 
der Speichereinheit eine Fehlermeldung uber die Speicherver- 
waltungseinheit zu der Prozessoreinheit ubertragen, von wel- 
cher die Fehlermeldung anschlieBend uber die Prozessoreinheit 
Ausgabemittel zu einer externen Anzeigeeinheit und/oder einer 
Fehlerverarbeitungseinheit ausgegeben wird. 

Ausf uhrungsbeispiele der Erfindung sind in den Zeichnungen 
dargestellt und in der nachf olgenden Beschreibung naher erlau- 
tert. 



fin den Zeichnungen zeigen: 

Figur 1 eine erf indungsgemafte Rechnervorrichtung mit einer 

Speichereinheit mit zugeordneter Fehlerer f assungsein 
heit und einer einzigen Prozessoreinheit mit zugeord 
neter Selbsttesteinheit ; 



Figur 2 eine Rechnervorrichtung gemaft einem weiteren bevor- 
zugten Ausf uhrungsbeispiel der vorliegenden Erfin- 
dung, wobei die Fehlerer fassungseinheit der Figur 1 
durch eine. Fehlerkorrektureinheit ersetzt ist; 

jFigur 3 eine Rechnervorrichtung mit zwei Prozessoreinheiten 
gemaft einem weiteren bevorzugten Ausf uhrungsbeispiel 
der vorliegenden Erfindung; 

Figur 4 die Kombination einer Rechnervorrichtung mit zwei 

Prozessoreinheiten mit einer weiteren Rechnervorrich- 
tung mit einer Prozessoreinheit gemafi einem weiteren 
bevorzugten Ausf uhrungsbeispiel der vorliegenden Er- 
findung; und 



Figur 5 



die Kombination zweier Rechnervorrichtungen, 
jeweils zwei Prozessoreinheiten gemaft Figur 



welche 
3 aufwei- 
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sen, gemafi einem weiteren bevorzugten Ausf uhrungsbei- 
spiel der vor liegenden Erfindung. 

In den Figuren bezeichnen gleiche Bezugs zeichen gleiche oder 
f unktionsgleiche Komponenten oder Schritte. 

In der in Figur 1 gezeigten Rechnervorrichtung 100, welche auf 
einer einzigen Chipflache anordenbar ist, steuert eine Spei- 
cherverwaltungeinheit (MMU = Memory Management Unit) 103 Spei- 
cherzugrif fe in der Rechnervorrichtung 100, wobei die Spei- 
cherverwaltungseinheit 103 einerseits mit der Prozessoreinheit 
{ 104 und andererseits mit der Speichereinheit 102 wechselwirkt . 
Erf indungsgemali ist der Speichereinheit 102 eine Fehlererfas- 
sungseinheit 101 zugeordnet, mit welcher Fehler in der Spei- 
chereinheit 102 erfasst werden. 

Wegen der durch die Speichereinheit 102 beanspruchten, grofte- 
ren Chipflache kann fur die Speichereinheit 102 ein hoherer 
Fehlertoleranzlevei erforderlich sein, als fur den Rechner- 
kern, d.h. die Prozessoreinheit 104. Die von der Speicherein- 
heit eingenommene Chipflache kann urn eine Grofienordnung uber 
der von der Prozessoreinheit eingenommenen Chipflache liegen. 
Bei einer vereinf achten Betrachtung ist eine Fehlerwahrschein- 
lichkeit proportional zur eingenommenen Chipflache. Die Pro- 
zessoreinheit 104 wird durch eine Selbsttesteinheit 105, die 
der Prozessoreinheit 104 zugeordnet ist und mit dieser uber 
Prozessorverbindungsmittel 201, 201a, 201b verbunden ist, u- 
berwacht bzw. wird ein Selbsttest der Prozessoreinheit 104 
durch die Selbsttesteinheit 105 durchgef uhrt . Durch das Ein- 
zelkern-Konzept, das in Figur 1 schematisch vera.nschaulicht 
ist, konnen die obenstehend geschilderten Nachteile des Dual- 
kern-Konzepts vermieden werden. Hierbei ist der Rechnerkern 
"fail-silent" ausgefuhrt, d.h. bei einem Auftreten eines Feh- 
lers geht das Gesamtsystem des Rechnerkerns in einen definier- 
ten Zustand uber, welcher fur die ubrigen Schaltungskomponen- 
ten unschadlich ist. 
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Die mit einem hoheren Fehlertoleranzlevel versehene Spei- 
chereinheit 102 ist entweder "fail-silent" oder "fail- 
operational" ausgefuhrt. In Figur 1 ist eine Speichereinhei t 
gezeigt, welche "fail-silent" unter Verwendung der Fehlerer- 
5 fassungseinheit 101 ausgefuhrt ist. Somit lasst sich ein 
"f ail-silent"-Mikrocomputer sowohl chipf lachen-opt imal als 
auch kosten-optimal verwir klichen . 



Figur 2 unterscheidet sich von Figur 1 darin, dass die Spei- 
10 chereinheit 102 "fail-operational" ausgelegt ist, d.h. die 

Fehlererfassungseinheit 101 ist durch eine Fehler korrekturein- 
heit 106 ersetzt . 

Es sei darauf hingewiesen, dass die Speichereinheit 102 sowohl 
15 einen ROM (Read Only Memory = Lesespeicher ) als auch einen RAM 
(Random Access Memory = Schreib/Lese-Speicher ) umfassen kann. 

In vorteilhaf ter Weise kann bei einem Flash-ROM sogar in Be- 
trieb eine Information von Speicher zellen der Speichereinheit 

20 102 neu programmiert werden, wodurch eine Korrekturmoglichkeit 
der Speichereinheit 102 bereitgestellt wird. Somit kann in 
einer Rechnervorr ichtung 100b gemafi Figur 2, welche einen 
Flash-ROM als eine Speichereinheit 102 zusammen mit einer Feh- 
ler korrektureinheit 106 enthalt, nicht nur die Prozessorein- 

2 5v|^eit 104 die erhaltenen Daten aus der Speichereinheit vor ei- 
- ner Verarbeitung korrigieren, sondern die Prozessoreinheit 
kann daruber hinaus auch die Speichereinheit mit dem korri- 
gierten Datenwert neu programmieren. Hierdurch ergeben sich 
erhebliche Vorteile bezuglich einer Vereinf achung einer siche- 

30 ren Elektronik-Architektur bzw. einer Rechner-Architektur von 
Steuergeraten : 



35 



(i) Anwendungen mit einer "fail-silent "-Forderung bezuglich 
eines Mikrocomputers beruhen auf einem 1-f ehlertolerant en 
Speicher mit "fail-silent "-Prozessoreinheit; 
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(ii) Anwendungen mit einer Anforderung nach einer 1- 
Fehlertoleranz bezuglich des Mi krocomputers setzen zwei siche- 
re Prozessoreinheiten ein, die je nach den weiteren Anforde- 
rungen bezuglich einer Fehlert oleranz der Spannungsversorgung 
und einer Fehlertoleranz gegenuber Common-mode-Fehlern in ei- 
nem oder in zwei Steuergeraten untergebracht sein konnen, wie 
untenstehend unter Bezugnahme auf Figur 3 erlautert werden 
wird; 

(iii) Anwendungen mit einer Anforderung nach einer 1- 
Fehlertoleranz bezuglich der Mi krocomputer beruhen auf drei 

v sicheren Prozessoreinheiten, die je nach den weiteren Anforde- 
Prungen bezuglich einer Fehlertoleranz der Spannungsversorgung 
und einer Fehlertoleranz gegenuber Common-mode-Fehlern aus 
einem, zwei oder drei Steuergeraten bestehen konnen; und 

(iv) weitere Kombinat ionen aus einem " f ail-operational"-Modul 
und einem sicheren Mikrocomputer konnen bereitgestell t werden. 

Die in den Figuren 1 und 2 gezeigten Rechnervorrichtungen kon- 
nen jeweils fur zwei unter schiedliche Versorgungsspannungen 
verdoppelt werden, so dass durch Verdoppelung der Rechnervor- 
richtung 100b gemaft Figur 2 ein zweikanaliges System aus zwei 
Rechnervorrichtungen entsteht, das 1-f ehlertolerant bezuglich 
^Speicherf ehler und ebenfalls 1-f ehlertolerant bezuglich Pro- 
zessorfehler ist. Durch Verwendung zweier Versorgungsspannun- 
gen ist das System auch gegen Fehler der Versorgungsspannungen 
1-f ehlertolerant . Weiterhin entsteht durch Verdoppelung der 
Rechnervorrichtung 100b aus Figur 2 ein zweikanaliges System 
aus zwei Rechnervorrichtungen, das 2-f ehlertolerant bezuglich 
Speicherf ehler und 1-f ehlertolerant bezuglich Prozessor fehler 
ist. Durch Verwendung zweier Versorgungsspannungen ist das 
System wiederum gegen Fehler der Versorgungsspannungen 1- 
f ehlertolerant . 

Es sei darauf hingewiesen, dass unter einem 1-f ehlertolerantem 
Speicher oder einem 1-f ehlertoleranten Prozessorsystem bzw. 
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einem 2 -f ehlertolerantem Speicher ocler einem 2- 
fehlertoleranten Prozessorsystem Speicher- bzw. Prozessorsys- 
teme verstanden werden, die bezuglich des Auftretens eines 
bzw. zweier Fehler fehlertolerant sind. 

So ist es gemaft Figur 2 zwar moglich, dass das Gesamtsystem 
bei einem Auftreten eines Fehlers in der Speichereinheit 102 
weiterarbeitet (1-fehlertoleranter Speicher), wenn hingegen in 
der Prozessoreinheit 104 ein Fehler auftritt, wird die Bear- 
beitung abgebrochen und das System fahrt in einen definierten 
Zustand, bzw. weist ein definiertes Verhalten auf, das fur die 
ubrigen Schaltungskomponenten unschadlich ist ( "f ail-silent 
frprozessor) . 

Figur 3 zeigt eine Rechnervorrichtung 100a, die neben einem 1- 
f ehlertoleranten Speicher (Speichereinheit 102) auch ein 1- 
f ehlertolerantes Prozessorsystem bereitstellt . Zu diesem Zweck 
sind in der in Figur 3 dargestell t en Rechnervorrichtung 100 
zwei unabhangige Prozessoreinheiten 104a und 104b bereitge- 
stellt, welche untereinander durch ein erstes Verbindungsmit- 
tel 108a verbunden sind, urn Prozessdateninf ormat ion auszutau- 
schen. Weiterhin sind beide Prozessoreinheiten 104a, 104b mit- 
tels eines zweiten Verbindungsmittels 108b mit der Speicher- 
verwaltungseinheit 103 verbunden. 

V 

Jeder Prozessoreinheit ist, wie obenstehend unter Bezugnahme 
auf die Figuren 1 und 2 erlautert, weiterhin eine entsprechen- 
de Selbsttesteinheit 105a bzw. 105b zugeordnet, welche in der 
erlauterten Weise Selbsttests bezuglich der jeweiligen Prozes- 
soreinheit 104a, 104b durchfuhren. Auf diese Weise ist es 
durch die erf indungsgemaBe Rechnervorrichtung vorteilhaft mog- 
lich, einen 1-f ehlertoleranten Speicher mit einem 1- 
f ehlertoleranten Prozessorsystem zu verkoppeln. Somit kann in 
einer' der beiden Prozessoreinheiten 104a, 104b ein Fehler auf- 
treten, ohne dass ein Verarbeitungsbet rieb in der gesamten 
Rechnervorrichtung 100a abgebrochen werden muss. 
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Die Figuren 4 unci 5 sind Beispiele weiterer Kombinationsmog- 
lichkeiten, welche durch die erf indungsgemafie Vorrichtung und 
das erf indungsgemafie Verfahren zur Prozessdatenverarbeitung in 
einer Rechnervorrichtung fur sicherheit s krit ische Anwendungen 
ermoglicht werden . 

In Figur 4 ist eine Rechnervorrichtung 100a, welche der unter 
Bezugnahme auf Figur 3 beschr iebenen Rechnervorrichtung ent- 
spricht, mit einer Rechnervorrichtung 100b, welche der unter 
Bezugnahme auf Figur 2 beschriebenen Rechnervorrichtung ent- 
spricht, kombiniert . Die Rechnervorr ichtungen 100a und 100b 
sind durch eine Verbindungseinheit 107a untereinander verbun- 

Iden, wobei die Verbindungseinheit 107a derart ausgelegt ist, 
dass eine dem gewiinschten Fehlertoleranzlevel ent sprechende 
Anzahl von Verbindungsleitungen bereitgestellt wird. Hier sind 
zwei bidirektionale Verbindungsleitungen vorgesehen, so dass 
die Verbindungseinheit f ehlertolerant fur einen Fehler ausge- 
fuhrt ist. Nach dem Ausfall einer Verbindungsleitung ist die 

Verbindung noch iiber die zweite Verbindungsleitung betriebsfa- 
hig . 

Durch die in Figur 4 gezeigte erf indungsgemafie Kombination 
ergibt sich eine Anordnung mit drei Rechnerkernen, wodurch das 
Gesamtsystem aus einem 1-f ehlertoleranten Speicher und einem 
j^l-f ehlertoleranten Prozessorsystem an zwei Versorgungsspannun- 
gen besteht. Es sei darauf hingewiesen, dass hierbei die Ver- 
sorgungsspannung ebenfalls zwei-kanalig ausgelegt sein muss. 
Weiterhin ist es moglich - obwohl in der Figur nicht darge- 
stellt -, dass mehr als zwei Rechnerkerne bzw. Prozessorein- 
heiten 104a, 104b in einer Rechnervorrichtung 100a angeordnet 
sind. Durch den modularen Aufbau, wie er in den Figuren 4 und 
5 gezeigt ist, lassen sich anwendungsspezif ische Anf orderungen 
an eine Fehlertoleranz bezuglich der Speichereinheiten 
und/oder der Prozessoreinhei ten einfach erfullen. 

Figur 5 zeigt ein weiteres Ausf uhrungsbeispiel gemafi der vor- 
liegenden Erfindung, wobei hier zwei Rechnervorr ichtungen 100a 
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und 100c uber die Verbindungseinheit 107b, welche eine ent- 
sprechende Anzahl von Verbindungen (hier: 4) aufweist, die 
entsprechend der gewunschten Fehlertoleranz fur Fehler an den 
Verbindungsleitungen gewahlt wird. Bei der bidirekt ionalen 
Ausfuhrung der vier Verbindungsleitungen besteht eine Toleranz 
gegenuber drei fehlerhaften Verbindungsleitungen. 

Die beiden Rechnervorrichtungen 100a und 100c des Ausfuhrungs- 
beispiels entsprechen jeweils der unter Bezugnahme auf Figur 3 
beschriebenen Rechnervorrichtung 100a. Durch die in Figur 5 
gezeigte Konf igurat ion wird ein symmetr isches System gebildet, 
,das aus zwei Rechnervorrichtungen 100a, 100c besteht, die an 
^zwei Versorgungsspannungen angeschlossen sind und jeweils eine 
1-f ehlertolerante Speichereinheit 102 und ein 1- 
fehlertolerantens Prozessorsystem enthalten. Das Gesamtsystern 
nach Figur 5 ist dann 2-f ehlertolerant gegen Speicherf ehler in 
den Speichereinheiten 102 und 3-f ehlertolerant gegen Fehler in 
den Prozessoreinheiten 104a, 104b. 

Es sei darauf hingewiesen, dass die Versorgungsspannungen hier 
ebenfalls zweikanalig ausgelegt sein miissen. 

Mit der er f indungsgemafien Anordnung und dem erf indungsgenmafien 
Verfahren wird es ermoglicht, dass die Selbsttesteinheit 105; 
I^LOSa, 105b eine Fehlermeldung uber Selbs tt es teinheit- 

Ausgabemittel 202, 202a, 202b zu einer externen Anzeigeeinheit 
und/oder einer Fehlerverarbeitungseinheit ausgibt, wenn eine 
Prozessoreinheit 104, 104a, 104b durch die zugeordnete Selbst- 
testeinheit 105; 105a, 105b als fehlerhaft erkannt wird. Wei- 
terhin ist es zweckmafiig, dass die Prozessoreinheiten 104, 
104a, 104b Anf angswerte, Zwischenwerte bzw. Zwischenergebnisse 
und Endergebnisse uber die Verbindungsmittel 108a, 108b zwi- 
schen den Prozessoreinheiten 104, 104a, 104b austauschen und 
auf Gleichheit uberprufen. 

In vorteilhaf ter Weise ist sichergestellt , die Prozessorein- 
heit 104, 104a, 104b eine Fehlermeldung uber Prozessoreinheit- 
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Ausgabemittel 203, 203a, 203b zu einer externen Anzeigeeinheit 
und/oder einer Fehlerverarbeitungseinheit ausgibt, wenn die 
Prozessoreinheit 104, 104a, 104b eine Abweichung zwischen den 
Zwischenergebnissen und/oder Endergebnissen feststellt. Dar- 
tiber hinaus ist es moglich, dass bei einem Auftreten von Feh- 
lern in der Speichereinheit 102 eine Fehlermeldung uber Feh- 
lererf assungseinhei t-Ausgabemittel 204 zu einer externen An- 
zeigeeinheit und/oder einer Fehlerverarbeitungseinheit ausge- 
geben wird. Andererseits ist es ebenfalls sichergestellt , dass 
bei einem Auftreten von Fehlern in der Speichereinheit 102 
eine Fehlermeldung uber die Speicherverwaltungseinheit 103 zu 
der Prozessoreinheit 104, 104a, 104b ubertragen wird, von wei- 
gher die Fehlermeldung anschlieftend uber die Prozessoreinheit- 
Ausgabemittel 203, 203a, 203b zu einer externen Anzeigeeinheit 
und/oder einer Fehlerverarbeitungseinheit ausgegeben wird. 

Die erf indungsgemafte Rechnervorrichtung kann auch dadurch aus- 
gelegt werden, dass an Stelle der in jeweiligen Prozessorein- 
heiten 104, 104a, 104b zugeordneten Selbsttesteinheiten 105, 
105a, 105b weitere Prozessormodule bereitgestellt werden, wel- 
che die Durchfuhrung von Selbsttests bezuglich der jeweiligen 
Prozessoreinheit 104, 104a, 104b ausfuhren. 



Somit ergibt sich der wesentliche Vorteil, dass. neben einem 
^elbsttest der Prozessoreinheiten ein Vergleich von Anfangs- 
Werten, Zwischenwerten bzw. Zwischenergebnissen und Endergeb- 
nissen uber die Verbindungsmittel 108a bzw. 108b moglich ist. 

Weitere Vorteile ergeben sich aus der Kombination des Selbst- 
testverf ahrens aus Prozessoreinheit und Selbsttesteinheit mit 
dem Dualprozessor aus zwei Prozessoreinheiten: 

(i) durch zyklisch ausgefuhrte Selbsttests konnen 

„schlafende" Fehler in durch die Prozessdatenvera- 
beitung nicht verwendeten Teilen der Prozessorein- 
heiten aufgedeckt werden, so dass fehlerhafte Pro- 
zessoreinheiten stillgelegt werden konnen, bevor 
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sich der Fehler durch einen Wertevergleich zwischen 
den Prozessoren bemerkbar macht; 

(ii) der zusatzlich kont inuierlich ausgefuhrte Austausch 
und Vergleich von Werten zwischen den Prozessorein- 

5 heiten stellt samtliche akuten Fehler, die sich in 

einer Wertedif f erenz auswirken, mit einer hohen Feh- 
lerabdeckung fest; 

(iii) nach einem Auftreten eines durch den Wertevergleich 
zwischen zwei Prozessoren entdeckten Fehlers wird 

10 durch den anschlie/ienden zyklischen Selbsttest die 

defekte Prozessoreinheit identif iziert und stillge- 
legt, so dass die f unktionsf ahige Prozessoreinheit 
weiterarbeiten kann - diese Vorgehensweise erhoht 
die Verf ugbarkeit der Rechnervorrichtung, da nicht 
15 bei jedem akuten Fehler abgeschaltet werden muss. 
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Obwohl die vorliegende Erfindung vorstehend anhand bevorzugter 
Ausf iihrungsbeispiele beschrieben wurde, ist sie darauf nicht 
beschrankt, sondern auf vielfaltige Weise modif izierbar . 

Auch ist die Erfindung nicht auf die genannten Anwendungsmog- 
lichkeiten beschrankt . 
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PATENTANSPRUCHE 

1. Rechnervorrichtung (100, 100a, 100b, 100c) fur sicherheits- 
kritische Anwendungen, mit : 

a) mindestens einer Prozessoreinheit (104; 104a, 104b); 

b) einer Speichereinheit (102) zur Speicherung von Prozessda- 
ten; 

c) einer Speicherverwaltungseinheit (103) zur Steuerung von 
Speicherzugrif f en in der Rechnervorrichtung (100; 100a, 100b, 

fcoOc); 

d) einer Fehlerer f assungseinheit (101) zur Erfassung von Feh- 
lern in der Speichereinheit (102) ; und 

e) mindestens einer der Prozessoreinheit (104; 104a, 104b) 
zugeordneten Selbsttesteinheit (105; 105a, 105b), 

wobei die Rechnervorrichtung (100, 100a, 100b, 100c) weiter 
umf ass t : 

f) Verbindungsmittel (108a, 108b) zur Verbindung der Prozes- 
|oreinheiten (104a, 104b) untereinander und mit der Speicher- 
verwaltungseinheit (103), wobei die Prozessoreinheiten (104a, 
104b) zusammen mit der Speichereinheit (102) auf einer gemein- 
samen Chipf lache angeordnet sind . 

2 . Vorrichtung nach Anspruch 1 , 

dadurch gekennzeichnet , dass die Fehlererf assungseinheit (101) 
als eine Fehler korrektureinheit (106) ausgebildet ist, mit 
welcher eine Korrektur von Fehlern in der Speichereinheit 
(102) bereitgestellt wird. 



3. Vorrichtung nach Anspruch 1, 
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dadurch gekennzeichnet, dass jeder Prozessoreinhei t (104, 
104a, 104b) jeweils eine Selbsttesteinheit (105, 105a, 105b) 
zur Durchfuhrung eines Selbsttests zugeordnet ist. 

4. Vorrichtung nach Anspruch 1 und 3, 

dadurch gekennzeichnet, dass die Rechnervorrichtung (100) zwei 
durch Verbindungsmittel (108a, 108b) gekoppelte Prozessorein- 
heiten (104a, 104b) aufweist, welchen jeweils eine Selbsttest- 
einheit (105a, 105b) zugeordnet ist. 

5. Vorrichtung nach Anspruch 1, 

dadurch gekennzeichnet, dass eine Kombination von Rechnervor- 
fcjichtungen (100a, 100b, 100c), die eine gleiche oder unter- 
schiedliche Anzahl von Prozessoreinheiten (104, 104a, 104b) 
aufweisen, mittels mindestens einer Verbindungseinheit (107a, 
107b) bereitgestellt ist. 

6. Vorrichtung nach Anspruch 1 und 2, 

dadurch gekennzeichnet, dass in der Rechnervorrichtung (100, 
100a, 100b, 100c) jeder Speichereinheit (102) jeweils eine 
Fehlerkorrektureinheit (106) zugeordnet ist. 

7. Vorrichtung nach Anspruch 1, 

dadurch gekennzeichnet, dass die Speicherverwaltungseinheit 
|(103) zur Steuerung des Speicherzugrif f s in der Rechnervor- 
richtung (100; 100a, 100b, 100c) und die mindestens eine Pro- 
zessoreinheit (104; 104a, 104b) als eine einzige Einheit in- 
tegral ausgebildet sind. 

8. Verfahren zur Prozessdatenverarbeitung in einer Rechnervor- 
richtung (100, 100a, 100b, 100c) fur sicherheitskri tische An- 
wendungen, mit den Schritten: 



a) Verarbeiten von Prozessdaten in mindestens einer Prozessor- 
einheit (104; 104a, 104b), wobei 
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al) die mindestens eine Prozessoreinheit (104; 104a, 104b) 
mittels mindestens einer der Prozessoreinheit (104; 104a, 
104b) zugeordneten Selbst testeinheit (105; 105a, 105b) getes- 
tet wird; und 

a2) in der Rechnervorrichtung (100, 100a, 100b, 100c) die Pro 
zessoreinheiten (104a, 104b) untereinander und mit der Spei- 
cherverwaltungseinheit (103) mittels Verbindungsmi t teln (108a 
108b) verbunden sind, wobei die Prozessoreinhei ten (104a, 
104b) zusammen mit der Speichereinheit (102) auf einer gemein 
samen Chipflache angeordnet sind; 

fcs) Steuern von Speicherzugrif f en in der Rechnervorrichtung 
(100; 100a, 100b, 100c) mittels einer Speicherverwaltungsein- 
heit (103) ; 

t 

c) Speichern von Prozessdaten in einer Speichereinheit (102); 
und 

d) Erfassen von Fehlern in der Speichereinheit (102) mittels 
einer Fehlererf assungseinheit (101) . 

9. Verfahren nach Anspruch 8, 

dadurch gekennzeichnet, dass mittels einer Fehlerkorrekturein- 
|^eit (106) Fehler in der Speichereinheit (102) korrigiert wer- 
"den . 

10. Verfahren nach Anspruch 8, 

dadurch gekennzeichnet, dass in der Rechnervorrichtung (100a, 
100c) zwei durch Verbindungsmittel (108a, 108b) gekoppelte 
Prozessoreinheiten (104a, 104b) jeweils durch zugeordnete 
Selbsttesteinheiten (105a, 105b) getestet warden . 

11. Verfahren nach Anspruch 8, 

dadurch gekennzeichnet, dass Rechnervorr ichtungen (100, 100a, 
100b, 100c) , die eine gleiche oder unterschiedliche Anzahl von 
Prozessoreinheiten (104, 104a, 104b) aufweisen, mittels min- 



R. 303913 

16.12.2002 SB/koc 



21 



destens einer Verbindungseinheit (107a, 107b) kombiniert wer- 
den . 

12. Verfahren nach Anspruch 8 und 9, 

dadurch gekennzeichnet, dass die Speichereinheit (102) in dei 
Rechnervorrichtung (100, 100a, 100b, 100c) jeweils mittels 
einer zugeordneten Fehlerkorrektureinheit (106) auf Fehler 
uberpruft und korrigiert wird. 

13. Verfahren nach Anspruch 8, 

dadurch gekennzeichnet , dass die mindestens eine Prozessorein 
heit (104; 104a, 104b) mittels einer zugeordneten Selbsttest- 
fcinheit (105/ 105a, 105b) getestet wird. 

14. Verfahren nach Anspruch 8, 

dadurch gekennzeichnet, dass die Selbsttesteinheit (105; 105a 
105b) eine Fehlermeldung uber Selbsttesteinheit-Ausgabemittel 
(202, 202a, 202b) zu einer externen Anzeigeeinheit und/oder 
einer Fehlerverarbeitungseinheit ausgibt, wenn eine Prozessor 
einheit (104, 104a, 104b) durch die zugeordnete Selbsttestein 
heit (105; 105a, 105b) als fehlerhaft erkannt wird. 

15. Verfahren nach Anspruch 8, 

dadurch gekennzeichnet, dass die Prozessoreinheiten (104, 
^04a, 104b) Anf angswerte, Zwischenergebnisse bzw. Zwischenwer- 
te und Endergebnisse uber die Verbindungsmittel (108a, 108b) 
zwischen den Prozessoreinheiten (104, 104a, 104b) austauschen 
und auf Gleichheit uberprufen. 

16. Verfahren nach Anspruch 15, 

dadurch gekennzeichnet, dass die Prozessoreinhei t (104, 104a, 
104b) eine Fehlermeldung uber Prozessoreinheit-Ausgabemitt el 
(203, 203a, 203b) zu einer externen Anzeigeeinheit und/oder 
einer Fehlerverarbeitungseinheit ausgibt, wenn die Prozessor- 
einheit (104, 104a, 104b) eine Abweichung zwischen den Zwi- 
schenergebnissen bzw. Zwischenwerten und/oder den Endergebnis- 
sen feststellt. 
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17. Verfahren nach Anspruch 8, 

dadurch gekennzeichnet, dass bei einem Auftreten von Fehlern 
in der Speichereinheit (102) eine Fehlerrneldung iiber Fehlerer 
f assungseinheit-Ausgabemittel (204) zu einer externen Anzeige 
einheit und/oder einer Fehlerverarbeitungseinhei t ausgegeben 
wird. 

18. Verfahren nach Anspruch 8, 

dadurch gekennzeichnet , dass bei einem Auftreten von Fehlern 
in der Speichereinheit (102) eine Fehlerrneldung iiber die Spei 
cherverwaltungseinheit (103) zu der Prozessoreinheit (104, 
±04a, 104b) ubertragen wird, von welcher die Fehlerrneldung 
anschliefiend iiber die Prozessoreinheit-Ausgabemittel (203, 
203a, 203b) zu einer externen Anzeigeeinheit und/oder einer 
Fehlerverarbeitungseinheit ausgegeben wird. 
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ZUSAMMENFASSUNG 

Vorrichtung fur sicherheitskrit ische Anwendungen und sichere 
Elekt ronik-Architektur 

5 

Die Erfindung schafft eine Rechnervorr ichtung fur sicherheits- 
kritische Anwendungen mit mindestens einer Prozessoreinhei t , 
und mindestens einer einer Prozessoreinheit zugeordneten 
Selbsttesteinheit (105, 105a, 105b), einer Speichereinheit 

.0 (102) zur Speicherung des Programms und von Prozessdaten, ei- 
ner Speicherverwaltungseinheit (103) zur Steuerung von Spei- 
/^pherzugrif f en in der Rechnervorrichtung, einer Fehlererfas- 
sungseinheit (101) zur Erfassung von Fehlern in der Spei- 
chereinheit (102), wobei Verbindungsmittel zur Verbindung der 

5 Prozessoreinheiten untereinander und mit der Speicherverwal- 
tungseinheit (103) vorgesehen sind, wobei die Prozessoreinhei- 
ten zusammen mit der Speichereinheit auf einer gemeinsamen 
Chipflache angeordnet sind. 
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